この記事は約 5 分で読めます。
財務報告の信頼性向上や資産保全などを目的として内部統制を整備するためには、企業の状況を正しく把握する必要があります。その際に役立つのがリスクコントロールマトリクス(以下、RCM)です。
→ダウンロード:IT活用のリスク管理を強化できる内部統制対策ガイドブック
RCMは業務フローの中にあるリスクと、リスクに対応するための統制活動をまとめた表です。この記事では適切な内部統制の実現に欠かせないRCMの意味から始まり、作成方法や作成時のポイントなどをお伝えします。内部統制の整備や運用に関わる経理担当者は、ぜひ参考にして下さい。
RCM(リスクコントロールマトリクス)とは
RCMとはリスクコントロールマトリクスの略称で、業務を行う上で生じるリスクとリスクに対応するための統制活動をまとめた表です。
2008年4月から、企業の不正会計の防止や財務報告の正確性の向上などを目的に、内部統制報告制度(J-SOX法)が導入されました。これにより、日本国内の株式市場に上場している全ての企業とその子会社、関連会社は内部統制報告書の提出が義務づけられています。
内部統制の把握にはRCMに業務記述書・フローチャートを合わせた、3点セットの活用が効果的です。
内部統制を把握するための3点セット
前述したように、RCMは内部統制を把握する上で欠かせない3点セットの1つです。RCMは業務記述書とフローチャートを踏まえて作成されるのが基本であり、この2点を正確に作成できなければ適切なRCMを作成できません。
ここではRCMについて知るために、まずは業務記述書とフローチャートについて解説します。
- 業務記述書
業務記述書とは、自社の業務内容を文章化したものです。製造業であれば「材料仕入・保管」「発送・請求」など、接客販売業であれば「商材仕入・発注」「売り上げ計上・入金確認」など、業務を大まかに書き出した上でそれぞれの詳細をテキスト化します。これにより業務別に起こりやすいリスクが可視化され、対策の立案にも役立ちます。
- フローチャート
フローチャートとは業務の流れ、プロセスを図式化したものです。図として可視化させることで、取引と会計処理の流れが整理しやすくなり、問題が起こっている過程の発見などリスク管理につながります。
内部統制については、以下の記事で詳しく解説しています。
RCMの基本的な構成とポイント
RCMの作成項目は厳密には定められていません。ただ、一般的には次のような項目を記載します。
- 業務内容
- 業務記述書やフローチャートで可視化されたリスクの内容
- リスクに対応した統制の内容
- 実在性・網羅性・権利と業務の帰属などの要件
- 評価と評価の内容
RCMの作成例
前項で挙げた項目を基に、金融庁のRCM作成例を紹介します。
- 業務
受注や発送のような具体的な業務を記載
- リスクの内容
それぞれの業務において想定されるリスクを記載
- 統制の内容
リスクを回避するための対策を具体的に記載
- 要件(アサーション)
- 実在性:記載されている取引や会計が実際に発生しているか
- 網羅性:計上すべき資産や負債、取引が全て計上されているか
- 権利と義務の帰属:貸借対照表に記載されている資産の権利や負債の義務が会社に帰属しているか
- 評価の妥当性:資産や負債が適正な価格で計上されているか
- 期間配分の適切性:取引や会計を正しい金額で記録し、費用・収益が適した期間に配分されているか
- 表示の妥当性:資産や負債など財務諸表の表示が適切な項目に記載されているか
- 評価
統制によりリスクを回避できたかどうか記載
- 評価内容
評価が○でなかったものに対する問題点を記載
【関連する無料ガイドブック】
▶ IT活用のリスク管理を強化できる 内部統制対策ガイドブック
※すぐにPDF資料をお受け取りいただけます
RCMの作成手順
RCMをスムーズに作成するには、以下のような手順に沿って進めるのがおすすめです。
- 業務記述書・フローチャートを作成する
- リスクを設定する
- リスクに対応したコントロールを設定する
- 修正点を加味したRCMを作成する
各工程の詳細を以下で解説します。
業務記述書とフローチャートを作成する
RCM作成の第一歩は、現状の業務プロセスを文章にすることです。そのためにはいきなりRCMを作成するのではなく、まずは業務記述書とフローチャートを作成します。
業務記述書を作成するポイントは現場へのヒアリングを十分に行い、聞き取った内容を誰もが理解しやすいよう5W1Hで記載することです。途中で誰かが引き継いだ際にも業務が滞ってしまわないよう、分かりやすく記していきます。
また、業務マニュアルや組織規定など社内規定の内容にリスクが潜んでいる場合もあるため、各規定の分析も必要です。業務記述書を作成したら、それを基に業務プロセスを図式化してフローチャートを作成します。
リスクを設定する
作成した業務記述書とフローチャートを基にリスクを洗い出します。できるだけ多くのリスクを漏らさずに洗い出すことがポイントです。ここでリスクが漏れていると正確なRCMを作成できず、適切な内部統制も行えません。各業務プロセスを確認しながら、リスクを洗い出しましょう。
その後、洗い出したリスクを、前述した6つの要件(実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性)が満たされているか確認します。
注意が必要なのは、要件が満たされていないリスクです。現状の業務プロセスや業務のやり方に問題があると考えられるため、重点的に対応して改善を図ります。
リスクに対応したコントロールを設定する
リスクを統制(コントロール)するには、それぞれのリスクに対する対策を明確にすることが重要です。具体的にはそれぞれのリスクを次の3つに分類し、対応方法を確定させます。
- 予防的コントロール:リスクが発生しないよう未然に防ぐ
- 発見的コントロール:リスクの被害が大きくならないよう、早期発見、早期解決する
- 是正的コントロール:予防的、発見的コントロールで完全に対応できなかったリスクに対して問題を改善する
最も重視すべきは予防的コントロールです。基本的にはできるだけリスクが発生しないよう、早期の対応が求められます。
ポイントは、それぞれのリスクが発生した際、誰がどのように対応するか明確化することです。いざという時にスムーズに動き出せる体制の整備が、リスク被害の最小化につながります。
内部統制を強化するためのポイントおよび注意点については、以下の記事に詳しいので参考にしてください。
修正点を加味したRCMを作成する
リスクに対応したコントロールを設定できれば、RCMはひとまず完成です。ただし、このままでは現実のリスクへの対応が難しい場合があります。そこで重要となるのが現場の意見の反映です。
業務プロセスに沿って現場の担当者と協議し、RCMに問題点があれば即座に修正・改善することで、現場の実態に即した実効性の高いRCMが完成します。
RCMを作成するポイント
RCM作成の流れを見たところで、ここでは適切なRCMを作成するために欠かせない以下の3つのポイントを解説します。
- 適切なリスクとコントロールの設定を意識する
- 5W1Hを踏まえた記述を行う
- 実務担当者にヒアリングを行う
5W1Hを踏まえた記述を行う
5W1Hとは「いつ(When)・どこで(Where)・誰が(Who)・何を(What)・なぜ(Why)・どのように(How)」の頭文字を取ったものです。5W1Hを意識して記載することで次のことが明確になります。
- When:内部統制実施のタイミングが明確になり評価や改善の頻度が定まる
- Where:内部統制の対象範囲を決める
- Who:内部統制の責任者、現場担当者を明確にする
- What:内部統制の目的と対象が明確になる
- Why:なぜRCMを作成するのか、内部統制の目的を把握する
- How:内部統制の実施方法や手順をチャートで明確化する
特に業務内容をテキスト化する業務記述書を作成する際、この5W1Hを意識して作成すれば、誰が読んでも理解しやすくなります。実務担当者や監査人とのスムーズなコミュニケーションにも役立つでしょう。
適切なリスクとコントロールの設定を意識する
RCMを作成する際は、業務上懸念されるリスクを把握することが重要です。さまざまな業務におけるリスクを事前に把握していれば、適切なコントロールも可能になります。
ただし、リスクとコントロールのバランスには注意が必要です。リスクの抑制は重要ではあるものの、リスクを恐れるあまりコントロールを過度にしてしまえばスムーズな業務遂行に支障をきたすことがあります。
業務効率を高めつつリスクを抑えるには実務担当者と協力しつつ、実務を進めながらリスクとコントロールのバランスを調整することが重要です。
実務担当者にヒアリングを行う
適切なRCMの作成に最も必要なのは実務担当者の声です。業務内容やプロセスの見直しによってリスクの洗い出しはできるものの、実際に現場で業務を行う実務担当者でなければ分からない潜在的リスクもあるでしょう。
ヒアリングのポイントは大きく2点あります。1つは実務担当者にRCMを作成する目的や意味、重要性を伝えた上で行うこと。もう1つは時間を置いて複数回のヒアリングを行うことです。
ただ漠然とリスクを聞いても潜在的なリスクまで引き出すことは難しいでしょう。なぜ、リスクの洗い出しが必要なのか、RCMをなぜ作成する必要があるのか入念に説明した上でヒアリングを行うことが重要です。
また、1回のヒアリングだけでは十分な回答は得られません。複数のヒアリングにより実務担当者との関係性を構築することで、実務担当者の経験や知見を引き出すことが可能になります。
担当領域を明確化する
RCMはもちろん、業務記述書やフローチャートの内部統制3点セットを作成する際は、業務内容やプロセスに応じて作成担当者の明確な振り分けが欠かせません。
おすすめは各現場の担当者を少なくとも1人メンバーに加えて作成することです。ヒアリングは重要ではあるものの、作成メンバーに現場の担当者を入れることで、潜在的なリスクの洗い出しや対応策のアイデアがより出やすくなります。
特に3点セットで最後に作成するRCMは、各現場の業務を熟知しているベテラン社員を含めることで、より現場の実情に即したRCMの作成が可能です。現場のリーダー格となる人員が作成メンバーにいれば、実務担当者との関係性も既にできているため、ヒアリングもスムーズに行えるでしょう。
さらに、RCMの修正や改善も効率的に進められることもメリットです。現場担当者の声を取り入れつつ、運用しながら修正や改善を重ねて精度を高めることで、より細かなリスクへの対応が可能になります。
【関連する無料ガイドブック】
▶ 請求書支払業務を取り巻く内部統制・セキュリティコンプライアンスの課題と4つの解決策
※すぐにPDF資料をお受け取りいただけます
RCMの作成体制
実際にRCMを作成する場合、体制としては専門のチームを構築して組織全体で作成する方法、もしくは各部署や部門ごとにRCMを作成し、最終的に統合する方法の2つに分けられます。ここではそれぞれの作成体制の概要、メリット・デメリットについて見てみましょう。
専門のチームで組織全体のRCMを作成する
社内でRCM作成を専門的に行うチームを組み、チーム全体でRCMを作成する体制です。1つのチームで効率的に作成を進められることや、通常業務から離れて集中して作成できるのがメリットです。
ただしチームメンバーが各業務に精通しているわけではないため、業務フローの理解度が低く、潜在的リスクの洗い出しが難しくなることも考えられます。専門チームを作る際は、各部署の協力が一層重要になります。
各部署や部門ごとにRCMを作成し統合する
各部署や部門ごとに現場の実務担当者がRCMを作成し、最終的に統合して1つのRCMを完成させる方法です。各業務の担当者が中心となって作成するため、表層的な部分だけではなく、現場でなければ分からない潜在的なリスクまで深堀りできるメリットがあります。
ただし、各部署・部門ごとの作成となるため、完成度にばらつきが出てしまう恐れがあります。さらに、最終調整として統合する際に手間取ってしまう懸念もあるでしょう。作成中に各部署・部門間のコミュニケーションと情報共有をこまめに行いながら、RCMを作成することが重要です。
適切なRCMの作成は経理業務の効率化がポイント
RCMは業務を行う上で生じるリスクと、リスクに対応するための統制活動をまとめた表です。内部統制を行うために必要な3点セットの1つであり、リスク管理やコントロールを適切に行う上で欠かせないツールといえます。
RCMの作成は全社を挙げて行う必要があり、会社として重要な取り組みです。そのため、経理部門としても大きなリソースを要します。そこで重要となるのが通常業務の効率化です。経理業務の効率化には、支出管理プラットフォーム「TOKIUM」をおすすめします。
TOKIUMを活用すれば、経費精算や請求書処理にかかる作業時間・費用を80〜90%削減することが可能です。適切な内部統制の実現に十分なリソースを割けるよう、ツールを活用して経理業務の効率化を進めましょう。
ペーパーレス化から始める経理のDX化に関する資料を、以下からご覧になって参考にしてください。
【関連する無料ガイドブック】
▶ 経理のペーパーレス化って本当に必要?実行して初めて気付いた、経理のカイゼン効果5選
※すぐにPDF資料をお受け取りいただけます
